<!DOCTYPE html>
<html lang="fr-FR">
    <head>
        <meta charset="UTF-8">
        <meta http-equiv="X-UA-Compatible" content="ie=edge,chrome=1">

        <meta name="viewport" content="width=device-width, initial-scale=1">
        <link rel="apple-touch-icon" href="/apple-touch-icon.png">
	    <link rel="icon" type="image/png" href="/favicon.png">

        <!--[if lt IE 9]>
	    <script src="/js/html5shiv.min.js"></script>
	    <![endif]-->
        <!--[if lt IE 11]>
        <link href="/css/ie.css" media="screen, projection" rel="stylesheet" type="text/css" />
        <![endif]-->

	    <title>🇫🇷/🇬🇧  [Maj] Campagne d’attaque du mode opératoire APT31 ciblant la France – CERT-FR</title>
<link rel="stylesheet" id="bootstrap-css" href="/css/bootstrap.css" type="text/css" media="all">
<link rel="stylesheet" id="ftawesome-css" href="/css/font-awesome.min.css" type="text/css" media="all">
<link rel="stylesheet" id="core-css" href="/css/core.css" type="text/css" media="all">
<link rel="stylesheet" id="print-css" href="/css/print.css" type="text/css" media="print">
</head>
    <body class="cert-ioc-template-default single single-cert-ioc postid-182726">
		<nav class="navbar navbar-default navbar-static-top navbar-anssi" id="header">
			<div class="container">
				<div class="navbar-header">
					<button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#bs-example-navbar-collapse-1" aria-expanded="false">
						<span class="sr-only">Toggle navigation</span>
						<span class="icon-bar"></span>
						<span class="icon-bar"></span>
						<span class="icon-bar"></span>
					</button>
					<a class="navbar-brand" href="/">
						<img src="/images/logo_anssi.png" width="80" height="80" alt="Logo ANSSI" class="navbar-brand-logo">
						<div class="navbar-brand-acronyme">cert-fr</div>
						<div class="navbar-brand-description visible-lg-inline-block">Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques</div>
					</a>
				</div>

				
				<div class="collapse navbar-collapse" id="bs-example-navbar-collapse-1">
					
					<ul class="nav navbar-nav navbar-left">
						<li class="dropdown">
							<a href="#" class="dropdown-toggle" data-toggle="dropdown" role="button" aria-haspopup="true" aria-expanded="false">Publications <span class="caret"></span></a>
							<ul class="dropdown-menu">
                                                                                                								<li><a href="/alerte/" class="menu-cert-alert">Alertes de sécurité</a></li>
								                                								<li><a href="/cti/" class="menu-cert-cti">Rapports menaces et incidents</a></li>
								                                								<li><a href="/avis/" class="menu-cert-avis">Avis de sécurité</a></li>
								                                								<li><a href="/ioc/" class="menu-cert-ioc">Indicateurs de compromission</a></li>
								                                								<li><a href="/dur/" class="menu-cert-dur">Durcissement et recommandations</a></li>
								                                								<li><a href="/actualite/" class="menu-cert-news">Bulletins d'actualité</a></li>
															</ul>
						</li>
                                                <li>
                            <a href="/scans/" role="button">Scans</a>
                        </li>
                        						<li class="dropdown">
							<a href="#" class="dropdown-toggle" data-toggle="dropdown" role="button" aria-haspopup="true" aria-expanded="false">Archives <span class="caret"></span></a>
							<ul class="dropdown-menu">
									<li><a href="/2021/">2021</a></li>
	<li><a href="/2020/">2020</a></li>
	<li><a href="/2019/">2019</a></li>
	<li><a href="/2018/">2018</a></li>
	<li><a href="/2017/">2017</a></li>
	<li><a href="/2016/">2016</a></li>
	<li><a href="/2015/">2015</a></li>
	<li><a href="/2014/">2014</a></li>
	<li><a href="/2013/">2013</a></li>
	<li><a href="/2012/">2012</a></li>
	<li><a href="/2011/">2011</a></li>
	<li><a href="/2010/">2010</a></li>
	<li><a href="/2009/">2009</a></li>
	<li><a href="/2008/">2008</a></li>
	<li><a href="/2007/">2007</a></li>
	<li><a href="/2006/">2006</a></li>
	<li><a href="/2005/">2005</a></li>
	<li><a href="/2004/">2004</a></li>
	<li><a href="/2003/">2003</a></li>
	<li><a href="/2002/">2002</a></li>
	<li><a href="/2001/">2001</a></li>
	<li><a href="/2000/">2000</a></li>
							</ul>
						</li>
					</ul>
					
					<ul class="nav navbar-nav navbar-right">
													<li itemscope="itemscope" itemtype="https://www.schema.org/SiteNavigationElement" id="menu-item-168616" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-has-children menu-item-168616 dropdown">
<a title="Réseau des CSIRT" href="#" data-toggle="dropdown" class="dropdown-toggle" aria-haspopup="true">Réseau des CSIRT <span class="caret"></span></a>
<ul role="menu" class=" dropdown-menu">
	<li itemscope="itemscope" itemtype="https://www.schema.org/SiteNavigationElement" id="menu-item-164470" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-164470"><a title="Les CSIRT" href="/csirt/">Les CSIRT</a></li>
	<li itemscope="itemscope" itemtype="https://www.schema.org/SiteNavigationElement" id="menu-item-168619" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-168619"><a title="InterCERT-FR" href="/csirt/intercert-fr/">InterCERT-FR</a></li>
	<li itemscope="itemscope" itemtype="https://www.schema.org/SiteNavigationElement" id="menu-item-168618" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-168618"><a title="EGC" href="/csirt/egc/">EGC</a></li>
	<li itemscope="itemscope" itemtype="https://www.schema.org/SiteNavigationElement" id="menu-item-168617" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-168617"><a title="FIRST" href="/csirt/first/">FIRST</a></li>
</ul>
</li>
<li itemscope="itemscope" itemtype="https://www.schema.org/SiteNavigationElement" id="menu-item-173471" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-173471"><a title="Recrutement" href="https://www.ssi.gouv.fr/recrutement/">Recrutement</a></li>
<li itemscope="itemscope" itemtype="https://www.schema.org/SiteNavigationElement" id="menu-item-34" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-34"><a title="Contact" href="/contact/">Contact</a></li>
<li itemscope="itemscope" itemtype="https://www.schema.org/SiteNavigationElement" id="menu-item-19268" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-19268"><a title="À propos" href="/a-propos/">À propos</a></li>
												<li class="dropdown">
							<a href="#" class="dropdown-toggle" data-toggle="dropdown" role="button" aria-haspopup="true" aria-expanded="false"><i style="color: #f59200" class="fa fa-1x fa-rss"></i> <span class="caret"></span></a>
							<ul class="dropdown-menu">
								<li><a href="/feed/">Flux RSS complet</a></li>
								<li><a href="/feed/scada/">Flux RSS SCADA</a></li>
								<li role="separator" class="divider">
                                                                                                    <li><a href="/alerte/feed/">Flux RSS des alertes</a></li>
                                                                    <li><a href="/cti/feed/">Flux RSS des menaces et incidents</a></li>
                                                                    <li><a href="/avis/feed/">Flux RSS des avis</a></li>
                                                                    <li><a href="/ioc/feed/">Flux RSS des indicateurs de compromission</a></li>
                                                                    <li><a href="/dur/feed/">Flux RSS des durcissement et recommandations</a></li>
                                                                    <li><a href="/actualite/feed/">Flux RSS des bulletins d'actualité</a></li>
                                							</ul>
						</li>
					</ul>
					
				</div>
			</div>
		</nav>

<div class="content">
	<div class="container">
	
		<section class="row">
			<span class="col-xs-6 article-prev"><a href="/ioc/CERTFR-2020-IOC-005/" rel="prev">« précédent</a></span>
			<span class="col-xs-6 article-next"><a href="/ioc/CERTFR-2021-IOC-004/" rel="next">suivant »</a></span>
		</section>
		
			
							<section class="toolbox">
	
	<ul>
		<li class="link-print"><a href="" title="Imprimer"><i class="fa fa-print fa-fw" aria-hidden="true"></i></a></li>
					<li class="link-pdf"><a target="pdf" href="/pdf/CERTFR-2021-IOC-003.pdf" title="Télécharger au format PDF"><i class="fa fa-fw fa-file-pdf-o" aria-hidden="true"></i></a></li>
				
		<li class="link-share">
			<a class="share-btn" href="" title="Partager"><i class="fa fa-share-alt fa-fw" aria-hidden="true"></i></a>
			<ul class="links">
				<li><a class="link-envelope" href="mailto:?subject=%F0%9F%87%AB%F0%9F%87%B7/%F0%9F%87%AC%F0%9F%87%A7%20%20%5BMaj%5D%20Campagne%20d%E2%80%99attaque%20du%20mode%20op%C3%A9ratoire%20APT31%20ciblant%20la%20France&amp;body=http%3A%2F%2Fwww.cert.ssi.gouv.fr%2Fioc%2FCERTFR-2021-IOC-003%2F"><i class="fa fa-envelope fa-fw" aria-hidden="true"></i></a></li>
				<li><a class="link-facebook" href="https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fwww.cert.ssi.gouv.fr%2Fioc%2FCERTFR-2021-IOC-003%2F" target="_blank"><i class="fa fa-facebook fa-fw" aria-hidden="true"></i></a></li>
				<li><a class="link-twitter" href="https://twitter.com/share?url=http%3A%2F%2Fwww.cert.ssi.gouv.fr%2Fioc%2FCERTFR-2021-IOC-003%2F" target="_blank"><i class="fa fa-twitter fa-fw" aria-hidden="true"></i></a></li>
				<li><a class="link-google-plus" href="https://plus.google.com/share?url=http%3A%2F%2Fwww.cert.ssi.gouv.fr%2Fioc%2FCERTFR-2021-IOC-003%2F&amp;hl=fr" target="_blank"><i class="fa fa-google-plus-official fa-fw" aria-hidden="true"></i></a></li>
				<li><a class="link-linkedin" href="https://www.linkedin.com/shareArticle?mini=true&amp;url=http%3A%2F%2Fwww.cert.ssi.gouv.fr%2Fioc%2FCERTFR-2021-IOC-003%2F&amp;title=%F0%9F%87%AB%F0%9F%87%B7/%F0%9F%87%AC%F0%9F%87%A7%20%20%5BMaj%5D%20Campagne%20d%E2%80%99attaque%20du%20mode%20op%C3%A9ratoire%20APT31%20ciblant%20la%20France" target="_blank"><i class="fa fa-linkedin fa-fw" aria-hidden="true"></i></a></li>
				<li><a class="link-viadeo" href="http://www.viadeo.com/shareit/share/?url=http%3A%2F%2Fwww.cert.ssi.gouv.fr%2Fioc%2FCERTFR-2021-IOC-003%2F&amp;title=%F0%9F%87%AB%F0%9F%87%B7/%F0%9F%87%AC%F0%9F%87%A7%20%20%5BMaj%5D%20Campagne%20d%E2%80%99attaque%20du%20mode%20op%C3%A9ratoire%20APT31%20ciblant%20la%20France" target="_blank"><i class="fa fa-viadeo fa-fw" aria-hidden="true"></i></a></li>
			</ul>
		</li>
	</ul>
	
</section>
				
<article class="article">

	<section class="article-meta">

		<div class="row meta-logo ">
			<img src="/images/logo_rf.png" class="logo-rf" alt="Logo République Française">
			<div class="premier-ministre">Premier Ministre</div>
		</div>
		

		<div class="row meta-certfr">
			<div class="row">
				<div class="col-md-4 meta-gauche">
					<div style="letter-spacing: 4px;">S.G.D.S.N</div>
					<div>Agence nationale<br>de la sécurité des<br>systèmes d'information</div>
				</div>
				<div class="col-md-4 col-md-offset-4 meta-droite">
					<div>Paris, le 21 juillet 2021</div>
					<div>N° CERTFR-2021-IOC-003</div>
				</div>
			</div>
		</div>
		
		<div class="row meta-affaire">
			<div class="col-md-12">
				Affaire suivie par: CERT-FR
			</div>
		</div>
		
		<div class="row meta-pub-date">
			<div class="col-md-12">
				<div>le 21 juillet 2021</div>
			</div>
		</div>
		
		<div class="row meta-post-type">
			
			<div class="post-type-title cert-ioc col-md-12">
				                    <h2>Indicateurs de compromission du CERT-FR</h2>
                				<hr>
			</div>
		</div>

		<div class="row meta-title">
			<div class="col-md-12"><h1>Objet: 🇫🇷/🇬🇧  [Maj] Campagne d’attaque du mode opératoire APT31 ciblant la France</h1></div>
		</div>

		<div class="row meta-document">
			<div class="col-md-12">
				<h2>Gestion du document</h2>
				<div class="col-md-8 col-md-offset-2 meta-table">
					<table class="table table-condensed">
						<tbody>
							<tr>
<td class="col-xs-4">Référence</td>
<td class="col-xs-8">CERTFR-2021-IOC-003</td>
</tr>
							<tr>
<td class="col-xs-4">Titre</td>
<td class="col-xs-8">🇫🇷/🇬🇧  [Maj] Campagne d’attaque du mode opératoire APT31 ciblant la France</td>
</tr>
							<tr>
<td class="col-xs-4">Date de la première version</td>
<td class="col-xs-8">21 juillet 2021</td>
</tr>
                                                                                    							    <tr>
<td class="col-xs-4">Date de la dernière version</td>
<td class="col-xs-8">15 décembre 2021</td>
</tr>
                            							<tr>
<td class="col-xs-4">Source(s)</td>
<td class="col-xs-8"></td>
</tr>
							<tr>
<td class="col-xs-4">Pièce(s) jointe(s)</td>
<td class="col-xs-8">Aucune(s)</td>
</tr>
						</tbody>
					</table>
					<div class="text-center">
<strong>Tableau 1:</strong> Gestion du document</div>
				</div>
			</div>
		</div>
		
		<div class="row" style="margin-bottom: 15px;">
			<div class="col-md-12">
				<p>Une gestion de version détaillée se trouve à la fin de ce document.</p>
			</div>
		</div>

	</section>

	<section class="article-content">
		<div class="row">
			<div class="col-md-12">
<p>🇫🇷 L’ANSSI traite actuellement une vaste campagne de compromission touchant de nombreuses entités françaises. Cette dernière, toujours en cours et particulièrement virulente, est conduite par le mode opératoire APT31 (voir <a href="https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-012/" style="color: #cd6818;">CERTFR-2021-CTI-012</a> pour plus d’informations).</p>
<p>Les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs, issus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions (depuis le début de l’année 2021) et de les mettre en détection.</p>
<p>Toute détection à partir de ces éléments ne constitue pas nécessairement une preuve de compromission et doit être analysée afin de lever le doute.</p>
<p>L’ANSSI rappelle que l’intrusion dans un système d’information est une infraction pénale et pourra mettre en relation toute entité visée dans le cadre de cette campagne avec les services judiciaires compétents.</p>
<p>Merci de faire remonter à l’ANSSI tout incident découvert en lien avec cette campagne à l’adresse suivante : cert-fr.cossi@ssi.gouv.fr.</p>
<p><strong>[Mise à jour]</strong> Les routeurs compromis dont sont issus les marqueurs de la présente publication ne sont plus utilisés à ce jour par l’attaquant comme relais d’anonymisation. En revanche, ces marqueurs peuvent toujours servir à des fins de recherches de compromission antérieure, depuis le début de l’année 2021.</p>
<p> </p>
<p>🇬🇧 ANSSI is currently handling a large intrusion campaign impacting numerous French entities. Attacks are still ongoing and are led by an intrusion set publicly referred as APT31 (see <a href="https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-013/" style="color: #cd6818;">CERTFR-2021-CTI-013</a> for more information).</p>
<p>It appears from our investigations that the threat actor uses a network of compromised home routers as operational relay boxes in order to perform stealth reconnaissance as well as attacks. As such, indicators of compromises (IOCs) are shared to help assess possible compromises (searches should start at the beginning of 2021) and used in detection services.</p>
<p>Finding one of the IOCs in logs does not mean the entire system has been compromised and further analysis will be required.</p>
<p>ANSSI encourages recipients to report additional information about any incident linked to this campaign and can be reached at cert-fr.cossi@ssi.gouv.fr</p>
<p><strong>[Update]</strong> The infected home routers mentioned in this publication are no longer used by the threat actor. However, the shared IOCs can still be used to assess potential past breaches (from the beginning of 2021 onwards). </p>
<p> </p>
<p><a href="https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-IOC-003-IOC.csv"><span style="display: block; text-align: center; padding: 5px 8px 5px 8px; background-color: #c4322c; width: 350px; height: 60px; margin: 0 auto; color: #ffffff;">TÉLÉCHARGER LES IOCs (CSV)<br>
🇬🇧 DOWNLOAD IOC (CSV)</span></a></p>
<p><a href="https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-IOC-003-IOC.json"><span style="display: block; text-align: center; padding: 5px 8px 5px 8px; background-color: #c4322c; width: 350px; height: 60px; margin: 0 auto; color: #ffffff;">TÉLÉCHARGER LES IOCs (JSON)<br>
🇬🇧 DOWNLOAD IOC (JSON)</span></a></p>
</div>
			
					</div>
	</section>

	<section class="article-footer">
		<div class="row">
			<div class="col-md-12">
				<h2>Gestion détaillée du document</h2>
				
									<ol>
													<dl>
																								                                <dt><strong>le 21 juillet 2021</strong></dt>
                                								<dd>Version initiale</dd>
							</dl>
													<dl>
																								                                <dt><strong>le 15 décembre 2021</strong></dt>
                                								<dd>Mise à jour sur l'activité des IOCs</dd>
							</dl>
											</ol>
								
			</div>
		</div>
	</section>

</article>

				
				
		<section class="row">
	<div class="col-md-12 text-center page-up" style="margin: 20px 0;">
		<a href="" title="Remonter en haut de la page">
			<img src="/images/icon_toppage.png" alt="">
		</a>
	</div>
</section>		
	</div>
</div>

	<footer id="footer">
		<div class="container">
							<div class="menu-footer-internal"><ul id="menu-liens-internes-pied-de-page" class="menu">
<li id="menu-item-30" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-30"><a href="/alerte">Alertes</a></li>
<li id="menu-item-31" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-31"><a href="/avis">Avis</a></li>
<li id="menu-item-32" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-32"><a href="/actualite">Bulletins d’actualités</a></li>
<li id="menu-item-19269" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-19269"><a href="/liens/">Liens</a></li>
<li id="menu-item-65862" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-65862"><a href="/csirt/">Les CSIRT</a></li>
<li id="menu-item-65860" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-65860"><a href="/csirt/first/">Le FIRST</a></li>
<li id="menu-item-65861" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-65861"><a href="/csirt/egc/">L’EGC</a></li>
<li id="menu-item-175671" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-175671"><a href="/mentions-legales/">Mentions légales</a></li>
<li id="menu-item-65864" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-65864"><a href="/a-propos/">À propos</a></li>
<li id="menu-item-65863" class="menu-item menu-item-type-post_type menu-item-object-page menu-item-65863"><a href="/contact/">Contact</a></li>
</ul></div>			
							<div class="menu-footer-external"><ul id="menu-liens-externes-pied-de-page" class="menu">
<li id="menu-item-165970" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-165970"><a href="https://www.ssi.gouv.fr">ssi.gouv.fr</a></li>
<li id="menu-item-25" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-25"><a href="http://www.service-public.fr">service-public.fr</a></li>
<li id="menu-item-26" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-26"><a href="http://www.legifrance.gouv.fr">legifrance.gouv.fr</a></li>
<li id="menu-item-27" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-27"><a href="http://www.gouvernement.fr">gouvernement.fr</a></li>
<li id="menu-item-28" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-28"><a href="http://www.france.fr">france.fr</a></li>
<li id="menu-item-29" class="menu-item menu-item-type-custom menu-item-object-custom menu-item-29"><a href="http://www.gouvernement.fr/risques">gouvernement.fr/risques</a></li>
</ul></div>						<div class="footer-bottom">
				<img src="/images/logo_rf.png" class="logo-rf" alt="Logo République Française">
				<p>Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information</p>
			</div>
		</div>
	</footer>
	<script type="text/javascript" src="/js/jquery.js"></script>
<script type="text/javascript" src="/js/jquery-migrate.min.js"></script>
<script type="text/javascript" src="/js/bootstrap.min.js"></script>
<script type="text/javascript" src="/js/cert.js"></script>
	</body>
</html>
